Algo que puede servir, aunque es una vuelta mas larga:
respalda lo respaldable, genera una maquina virtual, restaura y prueba
el comportamiento.... despues lo pasas a producción.
Saludos!
El 05-05-2014 12:51, Miguel Angel escribió:
respalda y prende fuego, y dependiendo de lo que debas respaldar.... mira
los codigos (si tienes paginas web, o cosas asi mejor instalar de 0 y solo
restaurar las BD... si los codigos fueron intervenidos te llevas el hoyo en
el respaldo)
... buscar el problema o como te hackearon da para largooo y si no te
manejas en linux desde 0, mejor olvidalo ... podrian haber cambiado los
comandos basicos ls,ps,netstat,lsof, etc... para no listar los procesos de
los programitas que estan corriendo(si es que el hacker era bueno y queria
que no lo vieran)... si fue un troyano generico quizas sea mas abordable,
pero lo mas sano es re-instalar y actualizar todos los programas. ademas de
hacer una instalacion restringuida, configurando SELinux, servicios
enjaulados, etc, eliminando herramientas de compilacion y dejando los
servicios publicados con configuraciones restringuidas y seguras, con
usuarios sin privilegio sobre la maquina. y despues mantener actualizada la
maquna, para que evites que se colen, tambien de pasada puedes buscar un
IDS de host, para registrar intrusiones.
Suerte!
Miguel
2014-05-05 9:51 GMT-04:00 z3robatu <caa.zerob...@gmail.com>:
+1
--
Claudio Alvarado
Software Developer
Sent with Airmail
On 5 de mayo de 2014 at 9:45:43, Carlos Albornoz (caralborn...@gmail.com)
wrote:
Haz lo que dice manuel y préndele fuego!! :D
2014-04-30 17:49 GMT-04:00 z3robatu <caa.zerob...@gmail.com>:
si creo que sera la mejor solución esta lleno de weas mato un proceso y
se corren otros, así que sera la mejor opción, gracias por la ayuda
--
Claudio Alvarado
Software Developer
Sent with Airmail
On 30 de abril de 2014 at 17:40:01, Manuel Barrera R. (
mbr...@hotmail.com) wrote:
Te recomiendo respaldar la información y cambiarla a un servidor
actualizado, es complejo verificar que cosas pueda tener instalada la
maquina una vez hackeada.
Date: Wed, 30 Apr 2014 17:36:09 -0400
From: caa.zerob...@gmail.com
To: linux@listas.inf.utfsm.cl
Subject: server zombie
estimados
help!
el servidor de un colega (vps en linode)
fue hackeado y tiene varios procesos corriendo enviando mail con
sendmail y unos script perl corriendo (con un texto en portugués que da
miedo)
alguna sugerencia para poder ver donde están los script y la
configuración de sendmail que esta enviando los correos para eliminarlos
y cual seria los pasos a seguir para la seguridad del servidor
desde ya gracias
--
Claudio Alvarado
Software Developer
Sent with Airmail
--
Carlos Albornoz C.
Linux User #360502
Fono: +56997864420
